De 20 beste technieken om de online bescherming van Exchange te verbeteren

Het belangrijkste doel van dit artikel is het verbeteren van de online bescherming van uitwisselingen voor een gegevensverlies of een gecompromitteerd account door de best practices van Microsoft-beveiliging te volgen en de daadwerkelijke installatie door te voeren. Microsoft biedt twee niveaus van Microsoft 365 e-mailbeveiliging: Exchange Online Protection (EOP) en Microsoft Defender Advanced Threat Protection. Deze oplossingen kunnen de beveiliging van het Microsoft-platform verbeteren en zorgen over de e-mailbeveiliging van Microsoft 365 wegnemen.

1 E-mailcodering inschakelen

2 Schakel blokkeringen voor het doorsturen van clientregels in

3 Powershell

4 Postbusdelegatie niet toestaan

5 Verbindingsfiltering

6 Spam en malware

7 Malware

8 Antiphishingbeleid

9 Verbeterde filtering configureren

10 Beleid voor veilige ATP-koppelingen en veilige bijlagen configureren

11 SPF, DKIM en DMARC toevoegen

12 Delen van agendagegevens niet toestaan

13 Zoeken in auditlogboek inschakelen

14 Mailboxcontrole inschakelen voor alle gebruikers

15 Powershell-opdrachten voor mailboxcontrole

16 Rolwijzigingen wekelijks beoordelen

17 Controleer de regels voor het doorsturen van mailboxen wekelijks

18 Bekijk het rapport Mailboxtoegang door niet-eigenaren tweewekelijks

19 Bekijk het rapport Malwaredetectie wekelijks

20 Bekijk uw activiteitenrapport voor accountregistratie wekelijks

E-mailcodering inschakelen

E-mailcoderingsregels kunnen worden toegevoegd om een ​​bericht te coderen met een bepaald trefwoord in de onderwerpregel of hoofdtekst. Het meest gebruikelijk is om "Secure" toe te voegen als trefwoord in het onderwerp om het bericht te coderen. M365/O365 Message Encryption werkt met Outlook.com, Yahoo!, Gmail en andere e-maildiensten. Versleuteling van e-mailberichten zorgt ervoor dat alleen beoogde ontvangers de berichtinhoud kunnen bekijken.

• Klik in het Microsoft 365 Admin Center op Exchange onder Admin Centers

• Klik in het gedeelte E-mailstroom op Regels

• Klik op het plusteken en klik op Microsoft 365 Message Encryption toepassen (hiermee kunt u meerdere voorwaarden definiëren)

• Geef uw polis een naam en zeg in de sectie Deze regel toepassen als "het onderwerp of de hoofdtekst omvat ..." en voeg vervolgens uw trefwoord toe. Hier plaatsen we "Encrypt"

• Klik in het gedeelte Doe het volgende op de optie voor de RMS-sjabloon en kies Versleutelen

• Nadat u op Opslaan heeft geklikt, kunt u uw polis testen. In dit geval tonen we een bericht dat naar een Gmail-gebruiker is gestuurd

• Gmail-gebruikersinbox:

• Wanneer de Gmail-gebruiker de bijlage (message.html) opslaat en opent, kunnen ze ervoor kiezen om in te loggen met hun Google-inloggegevens of een eenmalige toegangscode naar hun e-mail te laten sturen.

• In dit geval hebben we gekozen voor een eenmalige toegangscode.

• Controleer de Gmail-inbox voor de toegangscode

• Kopieer de toegangscode en plak deze

• We kunnen het versleutelde bericht in de portal bekijken en een versleuteld antwoord sturen

Gebruik de volgende opdracht om te controleren of uw tenant is ingesteld voor versleuteling en zorg ervoor dat de waarde van de afzender een geldig account is binnen uw tenant:

Test-IRMC-configuratie -Sender [email protected]

Als u "ALGEMENE RESULTAAT: GESLAAGD" ziet, bent u klaar om te gaan

Lees ook : Hoe versleutelt u Microsoft 365-e-mails met ATP?

Doorstuurblokkeringen voor clientregels inschakelen

Dit is een transportregel om gegevensexfiltratie te stoppen met door de klant gemaakte regels die e-mail automatisch doorsturen van de mailboxen van gebruikers naar externe e-mailadressen. Dit is een steeds vaker voorkomende datalekmethode in organisaties.

Ga naar het Exchange-beheercentrum>E-mailstroom>Regels

Klik op het plusteken en selecteer Microsoft 365-berichtversleuteling en rechtenbescherming toepassen op de berichten...

Voeg de volgende eigenschappen toe aan de regel:

• ALS de afzender zich 'Binnen de organisatie' bevindt
• EN ALS de ontvanger zich 'Buiten de organisatie' bevindt
• EN ALS het berichttype 'Auto-Forward' is
• DAN Weiger het bericht met de uitleg 'Externe E-mail Forwarding via Client Rules is niet toegestaan'.

Tip 1: Voor de 3e voorwaarde moet u Berichteigenschappen > Dit berichttype opnemen selecteren om de optie Automatisch doorsturen te laten invullen

Tip 2 : Voor de 4e voorwaarde, moet je Blokkeren het bericht selecteren...> het bericht weigeren en een uitleg toevoegen om in te vullen

• Klik op Opslaan als u klaar bent. Deze regel wordt onmiddellijk toegepast. Klanten ontvangen een aangepast Non-Delivery Receipt (NDR)-bericht dat handig is om externe doorstuurregels te markeren waarvan ze mogelijk niet wisten dat ze bestonden, of die zijn gemaakt door een kwaadwillende in een gecompromitteerde mailbox. U kunt uitzonderingen maken voor bepaalde opgegeven gebruikers of groepen in de gemaakte transportregel.

Powershell

• Powershell-script om Auto-Forward voor één klant te blokkeren.
• Powershell-script om Auto-Forward voor al uw klanten te blokkeren via Partner Center-referenties.

Postbusdelegatie niet toestaan

• Als uw gebruikers geen mailboxen delegeren, is het voor een aanvaller moeilijker om van het ene account naar het andere te gaan en gegevens te stelen. Mailboxdelegatie is de gewoonte om iemand anders uw e-mail en agenda te laten beheren, wat de verspreiding van een aanval kan versnellen.
• Om te bepalen of er bestaande machtigingen voor postbusdelegatie zijn, voert u het PowerShell-script uit vanuit Github. Voer desgevraagd de globale beheerdersreferenties voor de tenant in.
• Als er machtigingsmachtigingen bestaan, ziet u deze in de lijst. Als er geen zijn, krijgt u gewoon een nieuwe opdrachtregel. Identiteit is het postvak waaraan gedelegeerde beheerdersmachtigingen zijn toegewezen en de gebruiker is de persoon die deze machtigingen heeft.
• U kunt de volgende opdracht uitvoeren om de toegangsrechten voor gebruikers te verwijderen:

Verwijderen-MailboxPermission -Identiteitstest1 -Gebruikerstest2 -AccessRights FullAccess -InheritanceType All

Verbindingsfiltering

U gebruikt verbindingsfiltering in EOP om goede of slechte bron-e-mailservers te identificeren aan de hand van hun IP-adressen. De belangrijkste componenten van het standaardbeleid voor verbindingsfilters zijn:

IP-toegestane lijst : Sla spamfiltering over voor alle inkomende berichten van de bron-e-mailservers die u opgeeft op IP-adres of IP-adresbereik. Voor meer informatie over hoe de IP Allow List moet passen in uw algemene strategie voor veilige afzenders, zie  Veilige afzenderlijsten maken in EOP .

IP-blokkeringslijst : blokkeer alle inkomende berichten van de bron-e-mailservers die u opgeeft op IP-adres of IP-adresbereik. De inkomende berichten worden afgewezen, worden niet gemarkeerd als spam en er vindt geen extra filtering plaats. Voor meer informatie over hoe de IP-blokkeringslijst moet passen in uw algemene strategie voor geblokkeerde afzenders, zie  Lijsten met geblokkeerde afzenders maken in EOP .

• In het Exchange-beheercentrum > Beveiliging > Verbindingsfilter > Klik op het potloodpictogram om het standaardbeleid te wijzigen.

• Klik op Verbindingsfiltering

• Hier kunt u het IP-adres toestaan\blokkeren.

Spam en malware

Vragen om te stellen:

1. Welke acties willen we ondernemen wanneer een bericht wordt geïdentificeerd als spam?
   a. Verplaats bericht naar ongewenste map (standaard)
   b. X-koptekst toevoegen (verzendt het bericht naar de opgegeven ontvangers, maar voegt X-koptekst toe aan de berichtkop om het als spam te identificeren)
   c. Zet de onderwerpregel voor met tekst (verzendt het bericht naar de beoogde ontvangers maar laat de onderwerpregel voorgaan met de tekst die u opgeeft in de Voorvoegsel onderwerpregel met dit tekstinvoervak. Door deze tekst als identificatie te gebruiken, kunt u optioneel regels maken om te filteren of route de berichten indien nodig.)
   d. Stuur bericht om naar e-mailadres (verzendt het bericht naar een opgegeven e-mailadres in plaats van naar de beoogde ontvangers.)
2. Moeten we toegestane afzenders/domeinen toevoegen of afzenders/domeinen blokkeren?
3. Moeten we berichten filteren die in een specifieke taal zijn geschreven?
4. Moeten we berichten filteren die uit specifieke landen/regio's komen?
5. Willen we spammeldingen voor eindgebruikers configureren om gebruikers te informeren wanneer berichten die voor hen bedoeld zijn in plaats daarvan in quarantaine zijn geplaatst? (Uit deze meldingen kunnen eindgebruikers valse positieven vrijgeven en deze aan Microsoft rapporteren voor analyse.)

• Ga naar het Microsoft 365-beheercentrum > Selecteer Beveiliging in de beheercentra > Bedreigingsbeheer > Beleid > Antispam

• Bewerk het standaardbeleid

• Navigeer door de tabbladen om een ​​van de eerder gestelde vragen te configureren

• Vouw het  gedeelte Lijsten toestaan  ​​uit om afzenders van berichten te configureren op e-mailadres of e-maildomein die spamfiltering mogen overslaan.
• Vouw het  gedeelte Blokkeerlijsten  uit om afzenders van berichten te configureren op e-mailadres of e-maildomein dat altijd wordt gemarkeerd als zeer betrouwbare spam.

• Op het tabblad Spam-eigenschappen kunt u gedetailleerder omgaan met uw beleid en de instellingen van het spamfilter aanscherpen

Malware

Dit is al bedrijfsbreed ingesteld via standaard anti-malwarebeleid. Moet u gedetailleerder beleid maken voor een bepaalde groep gebruikers, zoals extra meldingen via tekst of verhoogde filtering op basis van bestandsextensies?

• Ga naar de beveiligingsportal > Bedreigingsbeheer > Beleid > Anti-malware

• Selecteer het standaardbeleid dat u wilt wijzigen
• Selecteer Nee voor de reactie op malwaredetectie

• Schakel de functie uit om bijlagetypen te blokkeren die uw computer kunnen beschadigen

• Automatisch opschonen van malware zonder uur inschakelen

• Wijzig meldingen dienovereenkomstig

• Geef de gebruikers, groepen of domeinen op voor wie dit beleid van toepassing is door op ontvangers gebaseerde regels te maken

• Controleer uw instellingen en sla op.

Antiphishingbeleid

Microsoft 365-abonnementen worden geleverd met een standaardbeleid voor anti-phishing dat vooraf is geconfigureerd, maar als u over de juiste licentie voor ATP beschikt, kunt u aanvullende instellingen configureren voor imitatiepogingen binnen de tenant. We zullen die aanvullende instellingen hier configureren.

• Ga naar de beveiligingsportal > Bedreigingsbeheer > Beleid > ATP-antiphishing

• Klik op het standaardbeleid > Klik op Bewerken in het gedeelte Imitatie
• Schakel in het eerste gedeelte de schakelaar in en voeg topmanagers of gebruikers binnen de organisatie toe die het meest waarschijnlijk worden vervalst

• Schakel in de sectie Domeinen toevoegen om te beschermen de schakelaar om automatisch domeinen op te nemen die ik bezit

• Kies in het gedeelte Acties welke actie u wilt ondernemen als een gebruiker of domein wordt geïmiteerd. We raden aan om in quarantaine te gaan of naar de map Junk te gaan.

• Schakel in het gedeelte Mailbox Intelligence de beveiliging in en kies welke actie moet worden ondernomen, zoals in de vorige stap

• In het laatste gedeelte kunt u afzenders en domeinen op de witte lijst zetten. Voeg hier geen generieke domeinen toe, zoals gmail.com.

• Nadat u uw instellingen heeft bekeken, kunt u ervoor kiezen om op te slaan

Lees ook : Microsoft Cloud App Security: de definitieve gids

Verbeterde filtering configureren

• Verbeterde e-mailfiltering kan worden ingesteld als u een connector hebt in 365 (e-mailfilterservice van derden of hybride configuratie) en uw MX-record niet verwijst naar Microsoft 365 of Office 365. Met deze nieuwe functie kunt u e-mail filteren op basis van de werkelijke bron van berichten die via de connector binnenkomen.
• Dit staat ook bekend als lijst overslaan en met deze functie kunt u alle IP-adressen die voor u als intern worden beschouwd over het hoofd zien of overslaan om het laatst bekende externe IP-adres te krijgen, wat het werkelijke bron-IP-adres zou moeten zijn.
• Als u Microsoft Defender ATP gebruikt, verbetert dit de machine learning-mogelijkheden en beveiliging rond veilige koppelingen/veilige bijlagen/anti-spoofing van Microsoft's bekende kwaadaardige lijst op basis van IP.
• In zekere zin krijgt u een secundaire beschermingslaag door Microsoft toe te staan ​​de IP's van de originele e-mail te bekijken en te controleren met hun database.

Voor verbeterde configuratiestappen voor filteren: klik hier

Beleid voor veilige ATP-koppelingen en veilige bijlagen configureren

Met Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) kunt u beleid maken voor veilige koppelingen en veilige bijlagen in Exchange, Teams, OneDrive en SharePoint. Realtime ontploffing vindt plaats wanneer een gebruiker op een link klikt en de inhoud zich in een sandbox-omgeving bevindt. Bijlagen worden ook in een sandbox-omgeving geopend voordat ze volledig via e-mail worden bezorgd. Hierdoor kunnen zero-day kwaadaardige bijlagen en links worden gedetecteerd.

• Ga naar het beveiligingsportaal > Bedreigingsbeheer > Beleid > Veilige ATP-bijlagen

• Klik op Algemene instellingen

• Schakel ATP in voor SharePoint, OneDrive en Microsoft Teams

• Een nieuw beleid maken

• Voeg Naam, Beschrijving toe en kies Dynamische levering. Klik  hier voor meer informatie over bezorgmethoden .

• Selecteer de actie als dynamische levering

• Voeg het ontvangende domein toe en kies het hoofddomein in de Tenant.

• Klik op Volgende om uw instellingen te controleren en klik op Voltooien

• Ga voor veilige koppelingen terug naar Bedreigingsbeheer > Beleid > Veilige ATP-koppelingen

• Gebruik het standaardbeleid of maak een nieuw beleid en schakel de benodigde instellingen in die hieronder worden weergegeven.

• U kunt ervoor kiezen om bepaalde URL's op de witte lijst te zetten

• Net als het beleid voor veilige bijlagen, moet u de domeinnaam toepassen op alle gebruikers in de tenant.

• Klik op Volgende om uw instellingen te controleren en klik op Voltooien

SPF, DKIM en DMARC toevoegen

• Heeft u SPF-records/DKIM-records/DMARC?
• SPF valideert de oorsprong van e-mailberichten door het IP-adres van de afzender te verifiëren tegen de vermeende eigenaar van het verzendende domein, wat spoofing helpt voorkomen.
• Met DKIM kunt u een digitale handtekening toevoegen aan e-mailberichten in de berichtkop van e-mails die u verzendt. E-mailsystemen die e-mail van uw domein ontvangen, gebruiken deze digitale handtekening om te bepalen of inkomende e-mail die ze ontvangen legitiem is.
• DMARC helpt ontvangende e-mailsystemen te bepalen wat te doen met berichten die niet door de SPF- of DKIM-controles komen en biedt een ander niveau van vertrouwen voor uw e-mailpartners.

Om records toe te voegen:

• Ga naar Domeinen in het Microsoft 365 Admin center en klik op het domein waaraan je records wilt toevoegen.

• Klik op " DNS-records " en noteer de MX- en TXT-records die worden vermeld onder Exchange Online

• Voeg het TXT-record van v=spf1 include:spf.protection.outlook.com -all toe aan uw DNS-instellingen voor ons SPF-record
• Voor onze DKIM-records moeten we twee CNAME-records publiceren in DNS

Gebruik het volgende formaat voor het CNAME-record :

Waar :
= ons hoofddomein = Het voorvoegsel van ons MX-record (bijv. domein-com.mail.protection.outlook.com)
= domein.onmicrosoft.com
Voorbeeld : DOMAIN = techieberry.com

CNAME-record #1:
Hostnaam: selector1._domainkey.techiebery.com
Punten naar adres of waarde: selector1-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL : 3600

CNAME-record #2 :
Hostnaam : selector2._domainkey.techiebery.com
Punten naar adres of waarde: selector2-techiebery-com._domainkey.techiebery.onmicrosoft.com
TTL : 3600

• Ga na het publiceren van de records naar het beveiligingsportaal > Bedreigingsbeheer > Beleid > DKIM

• Selecteer het domein waarvoor u DKIM wilt inschakelen en klik op Inschakelen.
• Nu de SPF- en DKIM-records aanwezig zijn, kunnen we nu DMARC instellen. Het formaat voor het TXT-record dat we willen toevoegen is als volgt:

_dmarc.domain TTL IN TXT “v=DMARC1; pct=100; p=beleid

Waar :
= domein dat we willen beschermen
= 3600
= geeft aan dat deze regel voor 100% van de e-mail moet worden gebruikt
= specificeert welk beleid u wilt dat de ontvangende server volgt als DMARC mislukt.
OPMERKING: U kunt instellen op geen, quarantaine of weigeren

Voorbeeld :

• _dmarc.pax8.com 3600 IN TXT “v=DMARC1; p=geen”
• _dmarc.pax8.com 3600 IN TXT “v=DMARC1; p=quarantaine”
• _dmarc.pax8.com 3600 IN TXT “v=DMARC1; p=weigeren”

Delen van agendagegevens niet toestaan

U moet uw gebruikers niet toestaan ​​om agendagegevens te delen met externe gebruikers. Met deze functie kunnen uw gebruikers de volledige details van hun agenda's delen met externe gebruikers. Aanvallers besteden heel vaak tijd aan het leren over uw organisatie (verkenningen uitvoeren) voordat ze een aanval lanceren. Openbaar beschikbare agenda's kunnen aanvallers helpen om organisatorische relaties te begrijpen en te bepalen wanneer specifieke gebruikers kwetsbaarder kunnen zijn voor een aanval, bijvoorbeeld wanneer ze op reis zijn.

• In het Microsoft 365-beheercentrum > Instellingen – Organisatie-instellingen

• Klik op diensten en selecteer kalender

• Wijzig de instellingen in " Kalender vrij/bezet informatie met alleen tijd "

• Schakel deze instelling op één tenant in via PowerShell
• Schakel deze instelling in alle tenants in via Partner Center-referenties met behulp van de PowerShell

Zoeken in auditlogboek inschakelen

U moet het opnemen van auditgegevens inschakelen voor uw Microsoft 365- of Office 365-service om ervoor te zorgen dat u een overzicht hebt van de interactie van elke gebruiker en beheerder met de service, inclusief Azure AD, Exchange Online, Microsoft Teams en SharePoint Online/OneDrive voor Bedrijven. Deze gegevens maken het mogelijk om een ​​inbreuk op de beveiliging te onderzoeken en in te schatten, mocht deze zich ooit voordoen. U (of een andere beheerder) moet auditlogboekregistratie inschakelen voordat u kunt beginnen met zoeken in het controlelogboek .

• Hoe de controle-aanmelding inschakelen?
• Hoe het auditlogboek doorzoeken?

• Ga naar beveiligingsportaal>Zoeken>Controlelogboek zoeken
• Zorg ervoor dat u niet het volgende krijgt:

• Nadat u Auditing heeft ingeschakeld, ziet u het volgende:

• U kunt een aangepaste zoekopdracht maken op basis van activiteit, datumbereik, gebruikers en bestand\map\site
• Maak een nieuw waarschuwingsbeleid op basis van een bepaalde gebeurtenis

• Als u het auditlogboek via PowerShell wilt doorzoeken, gebruikt u de onderstaande opdrachten:

$auditlog = Search-UnifiedAuditLog -StartDate 01/01/2021 -EndDate 31/01/2021 -RecordType SharePointFileOperation

• U kunt de volgende opdracht gebruiken om bepaalde eigenschappen naar een CSV-bestand te exporteren:

$auditlog | Select-Object -Property CreationDate,UserIds,RecordType,AuditData | Export-Csv -Append -Path c:\AuditLogs\PowerShellAuditlog.csv -NoTypeInformation

Mailboxcontrole inschakelen voor alle gebruikers

Standaard wordt alle niet-eigenaartoegang gecontroleerd, maar u moet controle op het postvak inschakelen om ook de toegang van de eigenaar te controleren. Hiermee kunt u ongeoorloofde toegang tot Exchange Online-activiteit ontdekken als het account van een gebruiker is geschonden. We moeten een PowerShell-script uitvoeren om controle voor alle gebruikers mogelijk te maken.

OPMERKING : Gebruik het controlelogboek om te zoeken naar postvakactiviteit die is vastgelegd. U kunt zoeken naar activiteit voor een specifieke gebruikersmailbox.

• Ga naar beveiligingsportaal>Zoeken>Controlelogboek zoeken

Lijst met acties voor mailboxcontrole

Powershell-opdrachten voor mailboxcontrole

De controlestatus van een mailbox controleren:

Get-Mailbox [email protected] | fl *controleer*

Een mailboxcontrole doorzoeken:

Zoeken-MailboxAuditLog [email protected] -ShowDetails -Startdatum 01/01/2021 -Einddatum 31/01/2021

Resultaten exporteren naar een csv-bestand:

Zoeken-MailboxAuditLog [email protected] -ShowDetails -Startdatum 01/01/2021 -Einddatum 31/01/2021 | Export-Csv C:\users\AuditLogs.csv -NoTypeInformation

Logboeken bekijken en exporteren op basis van bewerkingen :

Search-MailboxAuditLog -Identity [email protected] -ResultSize 250000 -Operations HardDelete,Move,MoveToDeletedItems,SoftDelete -LogonTypes Admin,Delegate,Owner -StartDate 01/01/2021 -EndDate 31/01/2021 -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Logboeken bekijken en exporteren op basis van aanmeldingstypen :

Search-MailboxAuditLog [email protected] -ResultSize 250000 -Startdatum 01/01/2021 -Einddatum 31/01/2021 -LogonTypes Eigenaar, gemachtigde, beheerder -ShowDetails | Export-Csv C:\AuditLogs.csv -NoTypeInformation

Rolveranderingen wekelijks bekijken

U moet dit doen omdat u moet letten op ongeoorloofde wijzigingen in de rolgroep, die een aanvaller verhoogde privileges kunnen geven om gevaarlijkere en impactvollere dingen in uw huurovereenkomst uit te voeren.

• Ga naar Beveiligingsportal>Zoeken>Auditlogboek zoeken
• Typ " Rol " in de zoekopdracht en selecteer " Lid toegevoegd aan rol " en " Een gebruiker verwijderd uit een directoryrol "

Rolveranderingen in alle klanttenants controleren

Controleer de regels voor het doorsturen van mailboxen wekelijks

U moet de regels voor het doorsturen van mailboxen naar externe domeinen ten minste wekelijks bekijken. Er zijn verschillende manieren waarop u dit kunt doen, waaronder het eenvoudig bekijken van de lijst met regels voor het doorsturen van e-mail naar externe domeinen in al uw mailboxen met behulp van een PowerShell-script, of door de activiteit voor het maken van regels voor het doorsturen van e-mail in de afgelopen week te bekijken vanuit de Audit Log Search. Hoewel er veel legitieme toepassingen zijn van regels voor het doorsturen van e-mail naar andere locaties, is het ook een zeer populaire tactiek voor gegevensexfiltratie voor aanvallers. U moet ze regelmatig controleren om er zeker van te zijn dat de e-mail van uw gebruikers niet wordt geëxfiltreerd. Als u het hieronder gekoppelde PowerShell-script uitvoert, worden twee csv-bestanden, "MailboxDelegatePermissions" en "MailForwardingRulesToExternalDomains", in uw System32-map gegenereerd.

• Monitor op één tenant
• Externe mailbox doorsturen controleren in alle Microsoft 365/Office 365 Customer-tenants

Bekijk het rapport Mailboxtoegang door niet-eigenaren tweewekelijks

Dit rapport laat zien welke mailboxen zijn geopend door iemand anders dan de eigenaar van de mailbox. Hoewel er veel legitieme toepassingen zijn van gedelegeerde machtigingen, kan het regelmatig controleren van die toegang helpen voorkomen dat een externe aanvaller de toegang voor een lange tijd behoudt en kan het helpen om kwaadwillende insider-activiteit eerder te ontdekken.

• Ga in het Exchange Admin Center naar Compliance Management>Auditing
• Klik op " Een niet-eigenaar mailboxtoegangsrapport uitvoeren... "

• Geef een gegevensbereik op en voer een zoekopdracht uit

Bekijk het rapport Malwaredetectie wekelijks

Dit rapport toont specifieke gevallen waarin Microsoft blokkeert dat een malwarebijlage uw gebruikers bereikt. Hoewel dit rapport niet strikt uitvoerbaar is, krijgt u door het te beoordelen een idee van de totale hoeveelheid malware die op uw gebruikers is gericht, wat u ertoe kan aanzetten agressievere malwarebeperkingen toe te passen.

• Ga naar beveiligingsportaal>Rapporten>Dashboard

• Scroll naar beneden en klik op Malware gedetecteerd in e-mail

• Bekijk het detectierapport en klik op + Schema maken

• Maak een wekelijks rapportschema en stuur het naar het juiste e-mailadres

Bekijk uw activiteitenrapport voor accountregistratie wekelijks

Dit rapport bevat een geschiedenis van pogingen om accounts voor externe toepassingen in te richten. Als u gewoonlijk geen externe provider gebruikt om accounts te beheren, is elke vermelding op de lijst waarschijnlijk onwettig. Maar als u dat doet, is dit een geweldige manier om transactievolumes te controleren en te zoeken naar nieuwe of ongebruikelijke toepassingen van derden die gebruikers beheren.

• In het Microsoft 365 Admin center>Azure Active Directory vanuit Admin Centers>Azure Active Directory>Audit Logs

• Zoek in het gedeelte Activiteit naar 'extern' en selecteer Externe gebruiker uitnodigen

Zo verbetert u de online bescherming van exchanges voor een betere beveiliging.

Nu hoor ik graag van je:

Welke bevinding uit het rapport van vandaag vond u het meest interessant? Of misschien heb je een vraag over iets dat ik behandeld heb.

Hoe dan ook, ik hoor graag van je. Dus ga je gang en laat hieronder een reactie achter.